Бизнес Центр "Мозаика"

09:00 - 18:00 Понедельник - Пятница

images

Поправки в закон

С 1 марта 2024 года вступают в силу основные положения нового закона Грузии «О защите персональных данных». Изменения касаются следующих вопросов:


Видео/аудио мониторинг

Лицо, ответственное за обработку данных видео/аудионаблюдения (лицо, осуществляющее обработку данных непосредственно или через лицо, уполномоченное на обработку), обязано в письменной форме определить цель и объем видео/аудионаблюдения, продолжительность видео/аудионаблюдения. аудиомониторинг и срок хранения записи, доступ к записи в соответствии с установленными законодательством принципами, порядок и условия ее хранения и уничтожения, механизмы защиты прав субъекта данных.

Система видео/аудио мониторинга и записи должны быть защищены от несанкционированного доступа и использования. Лицо, ответственное за обработку, должно обеспечить ведение записей о каждом случае доступа, включая время доступа и имя пользователя, позволяющее идентифицировать лицо, осуществившее доступ.

Установлены дополнительные требования к информации, размещаемой на предупреждающем знаке. В частности, на табличке должна быть соответствующая надпись, понятное изображение о ходе видео/аудионаблюдения, а также имя и контактные данные лица, ответственного за обработку. Кроме того, лицо, ответственное за обработку/лицо, уполномоченное на обработку (лицо, которое обрабатывает данные для или от имени лица, ответственного за обработку), освобождается от обязательств по новому закону в отношении предупреждающих знаков. которое он опубликовал до 1 марта 2024 года.

Видеонаблюдение за рабочим процессом/пространством занятого лица допускается только в исключительных случаях, если цели, указанные в видеонаблюдении, не могут быть достигнуты другими способами или связаны с несоразмерно большими усилиями. В этом случае трудоустроенное лицо должно быть письменно предупреждено о конкретной цели (целях) видеонаблюдения;

Аудиомониторинг разрешен: с согласия субъекта данных, для составления протокола, для защиты важных законных интересов лица, ответственного за обработку, при необходимости и определяются конкретные меры для защиты прав и интересов субъекта данных, а также в других случаях, прямо предусмотренных законодательством Грузии. Кроме того, лицо, ответственное за обработку, обязано заранее или в начале аудиоконтроля предупредить субъекта данных о проведении аудиоконтроля и разъяснить его право на отказ (при наличии такового).

Закон запрещает осуществлять видеонаблюдение в раздевалках, зонах, предназначенных для гигиены, или в таком пространстве, где субъект имеет разумные основания ожидать конфиденциальности и/или осуществление видеонаблюдения противоречит общепризнанным моральным нормам.


Обработка данных в целях прямого маркетинга

Прямой маркетинг определяется как прямое и прямое предоставление информации субъекту данных по телефону, почте, электронной почте или другим электронным средствам с целью вызвать интерес к физическому и/или юридическому лицу, товарам, идее, услуге, работе и/или инициатива, а также имиджевые и социальные вопросы. Для целей обслуживания, маркетинга и/или поддержки.

Независимо от основы сбора/получения данных и их доступности, данные могут обрабатываться в целях прямого маркетинга только с согласия субъекта данных. Однако помимо имени, фамилии, адреса, номера телефона и адреса электронной почты субъекта данных необходимо письменное согласие субъекта данных на обработку других данных в целях прямого маркетинга;

До получения согласия субъекта данных и во время осуществления прямого маркетинга лицо, ответственное за обработку/лицо, уполномоченное на обработку, должно объяснить субъекту данных ясным, простым и понятным языком его право отозвать согласие в любой момент. время и механизм/правило реализации этого права. Кроме того, время и факт согласия на обработку данных и отзыв согласия должны быть зафиксированы и сохранены в течение всего периода прямого маркетинга и в течение 1 года после прекращения прямого маркетинга;

Обработка персональных данных в целях прямого маркетинга должна быть прекращена в разумный срок после получения соответствующего запроса от субъекта данных, но не позднее 7 рабочих дней. Кроме того, субъект данных должен иметь возможность запросить прекращение обработки данных в целях прямого маркетинга таким же образом, каким осуществляется прямой маркетинг, или должны быть определены другие доступные и адекватные средства для запроса прекращения обработки данных;

Не допускается взимание каких-либо сборов или других ограничений на реализацию права субъекта данных на отзыв согласия.


Безопасность данных и учет информации

Лицо, ответственное за обработку, обязано принять соответствующие технические и организационные меры для обеспечения обработки данных в соответствии с законом и иметь возможность подтвердить соответствие обработки данных закону; Кроме того, эффективность технических и организационных мер, принимаемых для обеспечения безопасности данных, должна периодически оцениваться и, при необходимости, должны приниматься и/или обновляться адекватные меры по защите безопасности данных;

Лицо, ответственное за обработку, и лицо, уполномоченное на обработку, обязаны осуществлять псевдонимизацию данных, учет доступа к данным, механизмы защиты информации (конфиденциальность, целостность, доступность) и другие, обеспечивающие защиту данных от потери данных, незаконной обработки, включая уничтожение, удаление, модификации, от раскрытия или использования. При выполнении указанных обязательств должны учитываться категории данных, объем, цель обработки данных, форма, средства и возможные угрозы нарушения прав субъекта данных.

Должен быть определен объем доступа к данным любого сотрудника лица, ответственного за обработку, и лица, уполномоченного на обработку, а также адекватные меры по предотвращению, обнаружению и предотвращению фактов незаконной обработки данных сотрудниками, в том числе важность информирование сотрудников о вопросах защиты данных, чтобы работник не превышал предоставленные ему полномочия по защите тайны и конфиденциальности данных, в том числе после увольнения.

Лицо, ответственное за обработку, и лицо, уполномоченное на обработку, обязаны обеспечить, чтобы все действия (в том числе инциденты), совершенные в отношении данных в электронной форме (в том числе инциденты (нарушение безопасности данных), приводящие к неправомерному или случайному повреждению данных, утрата, а также несанкционированное раскрытие, уничтожение, изменение, доступ к ним, их сбор/извлечение или иная несанкционированная обработка), о сборе, изменении, доступе к ним, их раскрытии (передаче), подключении и удалении информации) . А при обработке данных в неэлектронной форме они обязаны обеспечить регистрацию всех действий (в том числе информации об инцидентах), связанных с раскрытием и/или изменением данных.

Лицо, ответственное за обработку, обязано зафиксировать происшествие, возникший результат, принятые меры и не позднее 72 часов после обнаружения происшествия уведомить о нем службу защиты персональных данных в письменной или электронной форме, а также в случаях, предусмотренных законом, также субъекту данных.

Лицо, ответственное за обработку, обязано в письменной или электронной форме зафиксировать и по соответствующему запросу незамедлительно, но не позднее 3 рабочих дней предоставить в службу защиты персональных данных информацию, связанную с обработкой данных:

о личности/должности и контактной информации лица, ответственного за обработку, специального представителя, уполномоченного по защите персональных данных, лица, уполномоченного на обработку;

о целях обработки данных;

о субъектах данных и категориях данных;

О категориях получателей данных (в том числе получателей данных в другом государстве или международной организации);

О передаче данных другому государству или международной организации, а также соответствующих гарантиях защиты данных, включая разрешение службы защиты персональных данных (при наличии);

о сроках хранения данных, а если конкретный срок не может быть определен, о критериях определения срока их хранения;

об общем описании организационно-технических мер, принятых по обеспечению безопасности информации;

Об инцидентах (если они были).


Закон можно прочитать полностью по следующей ссылке: https://shorturl.at/fhsz7